Как вирус Петя (Petya) привел с собой Мишу (Mischa)

Новый инсталлятор Petya устанавливает Mischa Ransomware, если не удаётся получить административные привилегии. В прошлом, когда устанавливался Petya, то он просил административные привилегии, чтобы потом изменить MBR. Если привилегии получить не удавалось, то установщик ничего плохого на компьютере не делал.

В отличие от Petya, его "брат" Mischa является стандартным вымогателем, который шифрует файлы и требует уплаты выкупа, чтобы получить ключ дешифрования. В настоящее время сумма выкупа за "работу" Миши равна 1,93380 Bitcoins или около $ 875 долларов США.

Установщик Petya-Mischa распространяется через фишинговые email-рассылки. Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. Когда жертва запускает этот файл, то он сначала пытается получить права администратора и установить вирус Petya, чтобы изменить MBR, а если это невозможно, то устанавливается криптовымогатель Mischa, которому админ-права не нужны.

При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. Важно отметить, что Misha шифрует не только стандартные файла документов (PNG, JPG, DOCX и т.д.), но и EXE-файлы. Примечательно, что Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому, чтобы скрыть своё присутствие до некоторого времени.

Вот так выглядит окно вымогателя миши

kak virus petya petya privel s soboj mishu mischa2

Способов бесплатного восстановления зашифрованных Misha Ransomware файлов пока нет. Но всегда, после удаления вредоноса, надо проверять состояние томов теневых копий файлов. У некоторых вымогателей есть проблемы с их удалением, некоторые вообще их не удаляют, потому у жертвы в любом случае может быть небольшой шанс восстановить из них хотя бы часть своих данных.

распространяется тем же способом, как и ранние версии, рассылая в офисы компаний резюме претендентов на работу. Этот метод использовался ранее для обмана получателей и запуска установщика Petya. Разумеется, под PDF скрывается EXE-файл.

kak virus petya petya privel s soboj mishu mischa3

kak virus petya petya privel s soboj mishu mischa4

Комментарии (2)

This comment was minimized by the moderator on the site

А ведь с вирусом Petya справился только антивирус Romad/

 
This comment was minimized by the moderator on the site

А вы знаете, что когда появился вирус Petya, антивируса Romad еще не существовало :-)
P.S. И хватит пытаться продвинуть свой товар через комментарии ;-)

 
There are no comments posted here yet

Оставьте свой комментарий

  1. Posting comment as a guest. Sign up or login to your account.
Вложения (0 / 3)
Share Your Location
Вверх
Политика конфиденциальности Используя сайт вы даете согласие на обработку персональных данных